usg9110 映射的内部地址访问外部地址时nat转换地址池错误

发布时间:  2012-07-18 浏览次数:  82 下载次数:  0
问题描述

设备双出口A(1.1.1.1)和B(2.2.2.2)地址,内部地址到两个出口都做了nat,其中一个内部地址C(3.3.3.3)根据访问外部的目的地址4.4.4.4,应该从A出口转发,并使用A出口地址池转换,但是通过会话发现,虽然正确经过A出口转发,但是却使用B地址池做了转换,导致访问不通,usg版本USG9100 V100R001C00SPC600。
A出口为kejiaowang
B出口为liantongwang 

配置如下:
#
nat address-group 1  1.1.1.1 1.1.1.1
nat address-group 2  2.2.2.2 2.2.2.2
#
nat server  protocol tcp global 2.2.2.2 29999 inside 10.3.68.33 29999
#
firewall interzone trust liantongwang 
 nat outbound 2000 address-group 2
#
firewall interzone trust kejiaowang
 nat outbound 2000 address-group 1
#
ip route-static 4.4.4.4  255.255.255.255 1.1.1.2

会话显示:
[USG9100-interzone-trust-kejiaowang]disp firewall session table v destination global 4.4.4.4
Current total sessions:  3
 icmp VPN:public --> public
 Zone:trust --> kejiaowang  Slot:3  CPU:1  TTL:00:00:20  Left:00:00:18
 Interface:G3/1/5  Nexthop:1.1.1.2  MAC:00-d0-97-d2-c4-8d
 <--packets:0 bytes:0  --->packets:62 bytes:3720
 3.3.3.3:1[2.2.2.2:2182] --> 4.4.4.4:2048

 icmp VPN:public --> public
 Zone:trust --> kejiaowang  Slot:3  CPU:0  TTL:00:00:20  Left:00:00:16
 Interface:G3/1/5  Nexthop:202.193.156.121  MAC:00-d0-97-d2-c4-8d
 <--packets:1 bytes:51  --->packets:1 bytes:51
 3.3.3.4:41481[1.1.1.1:2096] --> 4.4.4.4:2048

告警信息
处理过程

1、出口分别划分了两个不同的安全域,其他配置也正确。
2、检查配置发现该地址通过B出口地址做了地址映射。分析应该是匹配了反向会话导致,取消该地址映射配置,C地址转换的外部地址正常,由于该版本不支持no-reverse,不能关闭反向会话,但是客户需要在不取消地址映射的前提下,确保当C地址主动发起访问目的地址时能够通过正确的地址池转换。
3、用户是双出口,只做B地址对C地址的映射,将映射配置增加带zone参数,再做一个B到C的带zone参数地址映射,C地址主动发起访问,转换的地址正确。修改后的地址映射配置:
 nat server zone liantongwang protocol tcp global 2.2.2.2 29999 inside 10.3.68.33 29999
 nat server zone kejiaowang protocol tcp global 1.1.1.1 29999 inside 10.3.68.33 29999

根因
1、出口配置错误
2、防火墙转换流程异常。
3、地址映射导致。
建议与总结

如果有映射地址主动发起访问外部网络情况,需要注意反向会话的影响。

END